9月1日,三项立法法规同时实施,我国安防行业配套立法法规体系开始逐步完善。在《数据安全法》《关键信息基础设施安全保护条例》和?中,我一直很关心管济的保护。在此前的《海关保护条例》解读中也引入了这一点,一系列与海关相关的标准正在起草和编制中。那么,在这些要求出台之前,我们不妨先看看国外在管济保护方面的一些做法。有些人关注BadPractice。最近,CISA(美国网络安全和基础设施安全局)反其道而行之,启动了一个名为badsecuritypractice的项目。它不关注最佳实践,而是关注那些做得不好的事件。它开放供官方讨论。(官方链接:www.cisa.gov/BadPractices)不过,目前评论很少。如果你有兴趣,可以留言说说你所看到的令人发指的安全做法。目前的评论涉及密码安全、安全访问、零信任、流程复杂等问题。(官方链接:github.com/cisagov/bad-practices/discussions)针对关键基础设施的网络攻击将对政府和企业的关键能力产生重大影响。所有组织,尤其是那些支持特定关键基础设施或国家关键能力(NCF)的组织,都应实施有效的网络安全计划,以防范网络威胁并管理网络风险。CISA正在开发一个非常高风险的不良实践目录,特别是在支持CI或NCF的组织中。在支持CI或NCF的组织中存在这些不良做法是危险的,并增加了CI影响国家安全、经济稳定以及公众生命、健康和安全的风险。CISA暂时列出了三种典型的不良做法:在关键基础设施和国家关键能力服务中使用不受支持(或停产)的软件是危险的,会显着增加国家安全、经济稳定以及国家公共健康和安全风险。对关键基础设施和关键国家能力服务使用固定/默认密码和凭证是一种危险的做法,会显着增加国家安全、经济稳定以及国家公共健康和安全的风险。使用单因素身份验证对支持关键基础设施和关键国家能力的系统进行远程或管理访问是危险的,并且会显着增加对国家安全、经济稳定以及国家公共健康和安全的风险。这些危险的做法在互联网访问技术中尤为严重。不过官方补充说,应该是针对一些遗留系统,必须运行在上述环境中。虽然这些做法对关键基础设施和NCF是危险的,但CISA鼓励所有组织采取必要的行动和关键对话来解决这些不良做法。美国国内企业对于如何识别关键基础设施还比较困惑,目前也没有明确的解释和实践。我们可以参考美国的做法,就是上面说的NCF(NationalCriticalFunction)。国家关键能力(NCF)是政府和私营部门的能力,对美国至关重要。一旦受到损害、影响或功能失调,将对国家安全、国民经济、国家公共卫生或安全产生不利影响。CISA通过国家风险管理中心(NRMC)将私营部门、政府机构和其他主要利益相关者聚集在一起,以识别、分析、优先排序和管理最重大风险(例如网络、物理、供应链等)的能力.).2019年4月,CISA发布了第一版NCFSet,此后补充了各项能力的定义。与所有16个关键基础设施部门相关的政府和行业合作伙伴、州、地方和其他利益相关者合作,以确定这些关键能力。NCF由四个领域组成——连接、分销、管理和供应:连接技术,利用重要的通信和功能来发送和接收数据(例如,互联网连接)美国境外(例如,电力分配或货物运输)管理确保国家安全和公共健康安全的流程(例如,危险材料或国家紧急情况的管理)确保贸易材料、商品和服务的供应(例如,饮用水、住房和科学研究)NCF允许对关键基础设施进行更稳健的优先排序,并对相应的风险管理活动采用更系统的方法。虽然传统方法几乎完全关注实体的风险管理而不是关键成果,但NCF方法可以更深入地了解实体如何联合起来产生关键能力,以及哪些资产、系统、网络和技术支持这些能力。从功能的角度看待风险最终可以以更有针对性、优先级和战略性的方式提高关键基础设施生态系统的弹性和系统。可以更充分地识别可能在部门内和部门间产生连锁反应的交叉风险和相关依赖性。NCF实践效果NCF在网络安全和关键基础设施风险管理的联邦政策原则中得到有效使用。都涉及《国家网络战略》《国土安全部网络安全战略》和《保障 5G 国家战略》。NCF已被用于支持特定灾难的应急响应和恢复。最突出的是,与NCF一起解决COVID-19风险管理需求,以及围绕地缘政治紧张局势加剧的安全需求,并为即将到来的飓风做准备。对于COVID-19,国家风险管理中心使用NCF框架创建了关键基础设施的风险登记册,以组织围绕驱动因素潜在退化的响应,例如商品问题、劳动力问题、需求冲击和网络风险变化景观。这将作为国家风险管理中心通过利益相关者参与机制开展更广泛工作的模板,最终创建更强大的NCF风险登记册。每个NCF的准备都涉及一系列复杂的子功能和依赖关系。NCF风险框架构建了这种关系。这可以深入了解支持这些流程的关键资产、网络和系统,以及支持该流程的底层硬件、软件和其他技术。还可以识别作为过程和功能元素的关键提供者的实体(无论是企业还是政府)。该架构依赖于流程和工程图,以及对业务和功能治理的理解,以针对一系列场景进行风险分析。图:分解NCF详细了解其配置(来源:CISA官网)下面是美国大选NCF的样本分解:NationalConstructionKeyCapabilitySet最后是CISA给出的国家关键能力集,可以被视为关键基础设施2019年4月更新了最新版本的标识和分类。官方下载:www.cisa.gov/publication/national-critical-functions-resources)本文来源:https://mp.weixin.qq.com/s/UuQbh2DITBJylO7cE-U7Yw
